يعود برمجيات Matanbuchus الخبيثة للظهور بقوة في مشهد الأمن السيبراني، حيث تستخدم تكتيكات متطورة وأدوات محسّنة لتجنب اكتشافها. تُستخدم هذه البرمجية، المعروفة بدورها كبرمجية تنزيل خبيثة تتسم بالتخفي، بنشاط لتوصيل حمولات أكثر خطورة، بما في ذلك برامج الفدية، إلى الأنظمة المستهدفة.
تشير الأنشطة الحديثة إلى أن الجهات المشغلة لـ Matanbuchus لا تقوم فقط بإعادة تنشيط البرمجية، بل تعيد تشكيل طرق توصيلها لتمتزج مع نشاط المؤسسات العادي. تعتمد الموجة الأخيرة من الحملات بشكل كبير على ملفات Microsoft Installer (MSI) لإسقاط برمجية التنزيل Matanbuchus على أجهزة الضحايا.
Matanbuchus: تهديد متطور يتحدى أدوات الكشف
تبدو حزم MSI هذه غير ضارة في الوهلة الأولى، وغالباً ما يتم التمويه عليها كمثبتات برامج شرعية أو تحديثات، مما يسهل على المهاجمين خداع المستخدمين وتجاوز فحوصات الأمان الأساسية. بمجرد تشغيل المستخدم للملف، تقوم برمجية التنزيل بتثبيتها بصمت وإعداد الجهاز المصاب للمرحلة التالية من الهجوم.
لاحظ باحثو Zscaler ThreatLabz أن Matanbuchus تقوم باستمرار بتغيير العديد من مكوناتها الداخلية لتجنب أدوات مكافحة الفيروسات وأنظمة التعلم الآلي. من خلال تعديل الأجزاء الرئيسية لبرمجية التنزيل بشكل متكرر، بما في ذلك هيكل التعليمات البرمجية وأنماط السلوك، يقلل المشغلون من احتمالية وضع علامة عليها بواسطة التوقيعات الثابتة أو القواعد القائمة على السلوك.
التطور المستمر لتجنب أدوات الكشف
هذا التطور المستمر يعني أن بعض العينات الحديثة أظهرت صفر اكتشاف على منصات الفحص الشائعة في وقت اكتشافها. في الحملات الجارية، يستخدم مشغلو Matanbuchus أدوات تحميل قائمة على MSI للتواصل مع خادم القيادة والتحكم (C2) الخاص بهم واسترداد حمولات محدثة.
إحدى نقاط نهاية C2 المعروفة المرتبطة بهذا النشاط مستضافة على hxxps://nady[.]io/check/robot.aspx، والتي تعمل كمركز تحكم لتوصيل مراحل إضافية من الهجوم. بمجرد إنشاء الاتصال، يمكن لـ Matanbuchus تنزيل برمجيات خبيثة إضافية، أو التحرك جانبياً، أو إعداد البيئة لنشر برامج الفدية، اعتمادًا على أهداف المهاجمين.
يكمن الخطر الكبير في هذه الموجة من Matanbuchus في تركيزها الشديد على تجنب الكشف. بدلاً من الاعتماد على قاعدة تعليمات برمجية ثابتة، يقوم الجهات الفاعلة بتعديل مكونات التحميل وتنسيقات التكوين وطبقات التشويش بانتظام. هذه التغييرات دقيقة بما يكفي للحفاظ على الوظائف مع تغيير بصمة البرمجية الخبيثة، مما يساعدها على التسلل إلى محركات مكافحة الفيروسات وبعض نماذج التعلم الآلي التي تعتمد على الأنماط والميزات المعروفة.
حدد محللو Zscaler ThreatLabz أن استخدام البرمجية الخبيثة لهياكل MSI المعدلة ومنطق التنزيل المحدث هو أمر أساسي في هذه الاستراتيجية. من خلال تدوير العناصر باستمرار مثل السلاسل النصية، وروتينات التشفير، ومؤشرات الشبكة، تقلل Matanbuchus من إعادة استخدام القطع الأثرية التي يتعقبها المدافعون عادة.
هذا النهج يجبر فرق الأمان على البحث بما يتجاوز المؤشرات البسيطة والتركيز على السلوكيات عالية المستوى، مثل أنماط تنفيذ MSI غير العادية، والاتصالات الخارجية المشبوهة، ونشاط العمليات بعد التثبيت. المدافعون الذين يعتمدون فقط على مؤشرات التهديد الثابتة (IOCs) يخاطرون بفقدان العينات الأحدث التي تشترك في القليل جداً من التداخل مع الإصدارات الأقدم.
مع استمرار Matanbuchus في التكيف، يجب على المؤسسات تعزيز دفاعاتها حول تنفيذ البرامج النصية، ومعالجة المثبتات، وحركة مرور الشبكة الخارجية. يجب على فرق الأمان إيلاء اهتمام خاص لأحداث التثبيت المستندة إلى MSI التي تنشئ عمليات غير متوقعة أو تبدأ اتصالات خارجية بعد وقت قصير من التنفيذ. يمكن أن يساعد الجمع بين المراقبة السلوكية واستخبارات التهديدات في سد فجوة الرؤية وتقليل نافذة الفرصة للمهاجمين الذين يستخدمون Matanbuchus وأدوات التنزيل المعيارية المماثلة.